CN104270376A - 一种平台完整性的证明方法 - Google Patents
一种平台完整性的证明方法 Download PDFInfo
- Publication number
- CN104270376A CN104270376A CN201410536901.2A CN201410536901A CN104270376A CN 104270376 A CN104270376 A CN 104270376A CN 201410536901 A CN201410536901 A CN 201410536901A CN 104270376 A CN104270376 A CN 104270376A
- Authority
- CN
- China
- Prior art keywords
- platform
- verifier
- identity
- value
- credible calculating
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种平台完整性的证明方法,其具体实现过程为:可信计算平台报告其完整性;验证者平台在接收到相关信息后,由验证者完成验证过程。该一种平台完整性的证明方法与现有技术相比,利用安全的可信加密芯片,平台可以向外部实体提供完整性报告,接收方通过所报告的度量值来判断该平台的可信性,实用性强,有效保证平台的安全、完整、有效。
Description
技术领域
本发明涉及计算机安全技术领域,具体地说是一种实用性强、基于可信加密芯片的平台完整性的证明方法。
背景技术
平台完整性证明就是通过身份凭证证明可信计算平台真实身份的过程,一般可信计算平台的身份是用安全芯片标识的,平台完整性证明实质上即认证TPM/TCM安全芯片身份。可信计算组织TCG的Privacy CA认证方法在可信第三方的协助下只是减少了平台身份隐私信息的泄露,但该方法并不保证平台身份隐私,因此无法证明平台的完整性。
基于此,现提供一种平台完整性的证明方法,本发明通过在报告完整性度量值时,平台身份密钥对完整性度量值进行数字签名,接收方通过验证签名有效性以及校验完整性度量值来判断该平台的可信性,有效解决上述问题。
发明内容
本发明的技术任务是针对以上不足之处,提供一种实用性强、平台完整性的证明方法。
一种平台完整性的证明方法,其具体实现过程为:
首先由可信计算平台报告其完整性:
设置可信计算平台,该可信计算平台内置可信密码芯片和平台身份证书,该可信计算平台连接可信第三方和验证者平台;
可信计算平台启动后,外部可信第三方向可信计算平台发送完整性度量报告的请求;
可信密码芯片收集来报告数值后对该数值进行签名;
可信计算平台将报告数值、签名和平台身份证书发送给验证者平台的验证者;
验证者验证该验证者平台的完整性:
验证者得到可信计算平台发送的报告数值,签名和平台身份证书;
验证者在该验证者平台上验证平台身份证书;
验证者验证签名;
验证者对报告数值与平台的完整性基准值进行比较,若相同则表明当前验证者平台处于可信状态。
所述可信密码芯片内置平台配置寄存器PCR、密码模块密钥EK、平台身份密钥PIK和芯片证书,其中
密码模块密钥EK是唯一的,标识可信计算平台的身份,当获取可信计算平台的所有者操作及申请平台身份证书时使用,不能被导出可信加密芯片外部;
平台身份密钥PIK是在该可信计算平台所有者授权下,生成一个密钥对,用于对可信密码芯片内部的信息进行数字签名,实现平台身份认证和平台完整性报告;
平台身份密钥PIK设计有若干个,每个PIK均与密码模块密钥EK绑定,对外代表平台身份;
平台身份证书由可信第三方提供,用于验证平台身份密钥PIK对平台配置寄存器PCR值的签名。
所述可信计算平台报告其完整性时,可信密码芯片收集PCR的值,使用平台身份密钥PIK对平台配置寄存器PCR的值进行签名;可信计算平台将平台配置寄存器PCR的值、平台身份密钥PIK对平台配置寄存器RCR值的签名和平台身份证书证书发送给验证者;
相对应的,验证者验证验证者平台的完整性时,完成下述动作:验证者得到平台发送的平台配置寄存器PCR值、平台身份密钥PIK对平台配置寄存器PCR值的签名和平台身份证书;验证者验证平台身份证书;验证者验证平台配置寄存器PCR值的签名;验证者对平台配置寄存器PCR的值与验证者平台的完整性基准值进行比较,若相同则表明当前验证者平台处于可信状态。
本发明的一种平台完整性的证明方法,具有以下优点:
该发明的一种平台完整性的证明方法通过利用可信加密芯片,平台可以向外部实体提供完整性报告,接收方通过所报告的度量值来判断该平台的可信性;实用性强,平台身份隐私性能良好,有效证明平台完整性,适用范围广泛,易于推广。
附图说明
附图1为本发明的实现架构图。
具体实施方式
下面结合附图和具体实施例对本发明作进一步说明。
本发明提供一种平台完整性的证明方法,平台可向外部实体提供完整性报告,所报告的度量值作为判断平台可信性的依据。报告完整性度量值时,平台身份密钥对完整性度量值进行数字签名,接收方通过验证签名有效性以及校验完整性度量值来判断该平台的可信性。如附图1所示,其具体实现过程为:
首先由可信计算平台报告其完整性:
设置可信计算平台,该可信计算平台内置可信密码芯片和平台身份证书,该可信计算平台连接可信第三方和验证者平台;
可信计算平台启动后,外部可信第三方向可信计算平台发送完整性度量报告的请求;
可信密码芯片收集来报告数值后对该数值进行签名;
可信计算平台将报告数值、签名和平台身份证书发送给验证者平台的验证者;
验证者验证该验证者平台的完整性:
验证者得到可信计算平台发送的报告数值,签名和平台身份证书;
验证者在该验证者平台上验证平台身份证书;
验证者验证签名;
验证者对报告数值与平台的完整性基准值进行比较,若相同则表明当前验证者平台处于可信状态。
所述可信密码芯片内置平台配置寄存器PCR、密码模块密钥EK、平台身份密钥PIK和芯片证书,其中
密码模块密钥EK是唯一的,标识可信计算平台的身份,当获取可信计算平台的所有者操作及申请平台身份证书时使用,不能被导出可信加密芯片外部;
平台身份密钥PIK是在该可信计算平台所有者授权下,生成一个密钥对,用于对可信密码芯片内部的信息进行数字签名,实现平台身份认证和平台完整性报告;
平台身份密钥PIK设计有若干个,每个PIK均与密码模块密钥EK绑定,对外代表平台身份;
平台身份证书由可信第三方提供,用于验证平台身份密钥PIK对平台配置寄存器PCR值的签名。
所述可信计算平台报告其完整性时,可信密码芯片收集PCR的值,使用平台身份密钥PIK对平台配置寄存器PCR的值进行签名;可信计算平台将平台配置寄存器PCR的值、平台身份密钥PIK对平台配置寄存器RCR值的签名和平台身份证书证书发送给验证者;
相对应的,验证者验证验证者平台的完整性时,完成下述动作:验证者得到平台发送的平台配置寄存器PCR值、平台身份密钥PIK对平台配置寄存器PCR值的签名和平台身份证书;验证者验证平台身份证书;验证者验证平台配置寄存器PCR值的签名;验证者对平台配置寄存器PCR的值与验证者平台的完整性基准值进行比较,若相同则表明当前验证者平台处于可信状态。
实施例:
可信密码芯片选用国民技术的SSX44安全芯片,在平台所有者授权下,在SSX44芯片内部生成一个国密算法SM2密钥对,作为平台身份密钥PIK,用于对SSX44内部的信息进行数字签名,实现平台身份认证和平台完整性报告,从而向外部证实平台内部数据的可信性。
密码模块密钥EK是唯一的,保存在SSX44芯片内部,只有在获取平台所有者操作及申请平台身份证书时使用,不能被导出SSX44芯片外部。
SSX44芯片证书符合X.509 V3标准,在平台使用前由可信第三方签署,确保其可行性,用于建立密码模块密钥EK与SSX44芯片的一一对应关系。
平台身份证书由可信第三方提供,符合X.509 V3标准,用于验证平台身份密钥PIK对平台配置寄存器(PCR)值的签名。
上述具体实施方式仅是本发明的具体个案,本发明的专利保护范围包括但不限于上述具体实施方式,任何符合本发明的一种平台完整性的证明方法的权利要求书的且任何所属技术领域的普通技术人员对其所做的适当变化或替换,皆应落入本发明的专利保护范围。
Claims (3)
1.一种平台完整性的证明方法,其特征在于其具体实现过程为:
首先由可信计算平台报告其完整性:
设置可信计算平台,该可信计算平台内置可信密码芯片和平台身份证书,该可信计算平台连接可信第三方和验证者平台;
可信计算平台启动后,外部可信第三方向可信计算平台发送完整性度量报告的请求;
可信密码芯片收集来报告数值后对该数值进行签名;
可信计算平台将报告数值、签名和平台身份证书发送给验证者平台的验证者;
验证者验证该验证者平台的完整性:
验证者得到可信计算平台发送的报告数值,签名和平台身份证书;
验证者在该验证者平台上验证平台身份证书;
验证者验证签名;
验证者对报告数值与平台的完整性基准值进行比较,若相同则表明当前验证者平台处于可信状态。
2.根据权利要求1所述的一种平台完整性的证明方法,其特征在于:所述可信密码芯片内置平台配置寄存器PCR、密码模块密钥EK、平台身份密钥PIK和芯片证书,其中
密码模块密钥EK是唯一的,标识可信计算平台的身份,当获取可信计算平台的所有者操作及申请平台身份证书时使用,不能被导出可信加密芯片外部;
平台身份密钥PIK是在该可信计算平台所有者授权下,生成一个密钥对,用于对可信密码芯片内部的信息进行数字签名,实现平台身份认证和平台完整性报告;
平台身份密钥PIK设计有若干个,每个PIK均与密码模块密钥EK绑定,对外代表平台身份;
平台身份证书由可信第三方提供,用于验证平台身份密钥PIK对平台配置寄存器PCR值的签名。
3.根据权利要求2所述的一种平台完整性的证明方法,其特征在于:所述可信计算平台报告其完整性时,可信密码芯片收集PCR的值,使用平台身份密钥PIK对平台配置寄存器PCR的值进行签名;可信计算平台将平台配置寄存器PCR的值、平台身份密钥PIK对平台配置寄存器RCR值的签名和平台身份证书证书发送给验证者;
相对应的,验证者验证验证者平台的完整性时,完成下述动作:验证者得到平台发送的平台配置寄存器PCR值、平台身份密钥PIK对平台配置寄存器PCR值的签名和平台身份证书;验证者验证平台身份证书;验证者验证平台配置寄存器PCR值的签名;验证者对平台配置寄存器PCR的值与验证者平台的完整性基准值进行比较,若相同则表明当前验证者平台处于可信状态。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410536901.2A CN104270376A (zh) | 2014-10-13 | 2014-10-13 | 一种平台完整性的证明方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410536901.2A CN104270376A (zh) | 2014-10-13 | 2014-10-13 | 一种平台完整性的证明方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104270376A true CN104270376A (zh) | 2015-01-07 |
Family
ID=52161866
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410536901.2A Pending CN104270376A (zh) | 2014-10-13 | 2014-10-13 | 一种平台完整性的证明方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104270376A (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108028846A (zh) * | 2015-09-24 | 2018-05-11 | 西门子股份公司 | 对测试数据组完整性的监视 |
| CN108270737A (zh) * | 2016-12-30 | 2018-07-10 | 中国移动通信集团公司 | 一种防范网络攻击的方法及装置 |
| CN110324355A (zh) * | 2019-07-15 | 2019-10-11 | 山西百信信息技术有限公司 | 一种基于可信计算的物联网终端安全保护方法 |
| CN110334514A (zh) * | 2019-07-05 | 2019-10-15 | 北京可信华泰信息技术有限公司 | 一种基于可信计算平台验证度量报告的方法及装置 |
| CN110401539A (zh) * | 2019-07-24 | 2019-11-01 | 阿里巴巴集团控股有限公司 | 一种身份验证数据处理方法、服务器、终端及系统 |
| CN111125666A (zh) * | 2019-12-25 | 2020-05-08 | 四川英得赛克科技有限公司 | 一种基于可信计算体系的可信控制方法及系统 |
| US10944578B2 (en) | 2019-07-24 | 2021-03-09 | Advanced New Technologies Co., Ltd. | Identity verification |
| CN113691494A (zh) * | 2021-07-05 | 2021-11-23 | 肖智强 | 一种可信平台完整性证明的方法 |
| CN113783846A (zh) * | 2021-08-16 | 2021-12-10 | 可信计算科技(无锡)有限公司 | 一种可信数据传输系统及方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060020781A1 (en) * | 2004-06-24 | 2006-01-26 | Scarlata Vincent R | Method and apparatus for providing secure virtualization of a trusted platform module |
| CN101159660A (zh) * | 2007-11-16 | 2008-04-09 | 西安西电捷通无线网络通信有限公司 | 一种基于三元对等鉴别的可信网络接入控制方法 |
| CN102970682A (zh) * | 2012-12-10 | 2013-03-13 | 北京航空航天大学 | 一种应用于可信移动终端平台的直接匿名证明方法 |
-
2014
- 2014-10-13 CN CN201410536901.2A patent/CN104270376A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060020781A1 (en) * | 2004-06-24 | 2006-01-26 | Scarlata Vincent R | Method and apparatus for providing secure virtualization of a trusted platform module |
| CN101159660A (zh) * | 2007-11-16 | 2008-04-09 | 西安西电捷通无线网络通信有限公司 | 一种基于三元对等鉴别的可信网络接入控制方法 |
| CN102970682A (zh) * | 2012-12-10 | 2013-03-13 | 北京航空航天大学 | 一种应用于可信移动终端平台的直接匿名证明方法 |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10725882B2 (en) | 2015-09-24 | 2020-07-28 | Siemens Aktiengesellschaft | Monitoring an integrity of a test dataset |
| CN108028846A (zh) * | 2015-09-24 | 2018-05-11 | 西门子股份公司 | 对测试数据组完整性的监视 |
| CN108270737A (zh) * | 2016-12-30 | 2018-07-10 | 中国移动通信集团公司 | 一种防范网络攻击的方法及装置 |
| CN108270737B (zh) * | 2016-12-30 | 2021-03-16 | 中移动信息技术有限公司 | 一种防范网络攻击的方法及装置 |
| CN110334514A (zh) * | 2019-07-05 | 2019-10-15 | 北京可信华泰信息技术有限公司 | 一种基于可信计算平台验证度量报告的方法及装置 |
| CN110334514B (zh) * | 2019-07-05 | 2021-05-14 | 北京可信华泰信息技术有限公司 | 一种基于可信计算平台验证度量报告的方法及装置 |
| CN110324355A (zh) * | 2019-07-15 | 2019-10-11 | 山西百信信息技术有限公司 | 一种基于可信计算的物联网终端安全保护方法 |
| CN110401539A (zh) * | 2019-07-24 | 2019-11-01 | 阿里巴巴集团控股有限公司 | 一种身份验证数据处理方法、服务器、终端及系统 |
| CN110401539B (zh) * | 2019-07-24 | 2021-01-08 | 创新先进技术有限公司 | 一种身份验证数据处理方法、服务器、终端及系统 |
| US10944578B2 (en) | 2019-07-24 | 2021-03-09 | Advanced New Technologies Co., Ltd. | Identity verification |
| CN111125666A (zh) * | 2019-12-25 | 2020-05-08 | 四川英得赛克科技有限公司 | 一种基于可信计算体系的可信控制方法及系统 |
| CN111125666B (zh) * | 2019-12-25 | 2021-01-12 | 四川英得赛克科技有限公司 | 一种基于可信计算体系的可信控制方法及系统 |
| CN113691494A (zh) * | 2021-07-05 | 2021-11-23 | 肖智强 | 一种可信平台完整性证明的方法 |
| CN113783846A (zh) * | 2021-08-16 | 2021-12-10 | 可信计算科技(无锡)有限公司 | 一种可信数据传输系统及方法 |
| CN113783846B (zh) * | 2021-08-16 | 2023-09-19 | 德威可信(北京)科技有限公司 | 一种可信数据传输系统及方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104270376A (zh) | 一种平台完整性的证明方法 | |
| CN104052606B (zh) | 数字签名、签名认证装置以及数字签名方法 | |
| WO2018120883A1 (zh) | 低功耗蓝牙设备通讯加密方法及系统 | |
| CN108306727A (zh) | 用于加密、解密和认证的方法和装置 | |
| MX2009007995A (es) | Método y aparato para proteger la información de ubicación y control de acceso utilizando la información de ubicación. | |
| CN106790064B (zh) | 可信根服务器-云计算服务器模型中双方进行通信的方法 | |
| CN104580250A (zh) | 一种基于安全芯片进行可信身份认证的系统和方法 | |
| TWI809292B (zh) | 資料的加解密方法、裝置、存儲介質及加密文件 | |
| US20180248690A1 (en) | Security device and security method | |
| US10547451B2 (en) | Method and device for authentication | |
| CN105227319A (zh) | 一种验证服务器的方法及装置 | |
| CA2877205A1 (en) | Systems, methods and apparatuses for the application-specific identification of devices | |
| CN103701598A (zh) | 一种基于sm2签名算法的复核签名方法和数字签名设备 | |
| CN101488851B (zh) | 一种可信计算中签发身份证明证书的方法及装置 | |
| CN101944170A (zh) | 一种软件版本发布方法、系统及装置 | |
| CN103780391A (zh) | 一种基于签名内容的手写电子签名数据保护方法 | |
| CN110955921A (zh) | 电子签章方法、装置、设备及存储介质 | |
| CN109951276A (zh) | 基于tpm的嵌入式设备远程身份认证方法 | |
| CN104392185A (zh) | 在云环境日志取证中实现数据完整性验证的方法 | |
| CN108390866A (zh) | 基于双代理双向匿名认证的可信远程证明方法 | |
| Zhang | A study on application of digital signature technology | |
| CN105007162A (zh) | 一种可信电子签名系统及电子签名方法 | |
| CN104917615B (zh) | 一种基于环签名的可信计算平台属性验证方法 | |
| CN106992865B (zh) | 数据签名方法及系统、数据验签方法及装置 | |
| CN109510712B (zh) | 一种远程医疗数据隐私保护方法、系统及终端 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20150107 |